Защита от вредоносных программ в Exchange ServerAntimalware protection in Exchange Server

Защита от вредоносных программ в Exchange Server 2016 помогает бороться с вирусами и шпионскими программами в среде обмена сообщениями электронной почты.Antimalware protection in Exchange Server 2016 helps combat viruses and spyware in your email messaging environment. Вирусы заражают другие программы и данные, а также распространяются по компьютеру в поисках программ, которые можно заразить.Viruses infect other programs and data, and they spread throughout your computer looking for programs to infect. Программы-шпионы собирают персональные данные (например, данные для входа) и отправляют их своему автору.Spyware gathers personal information (for example, sign-in information and personal data) and sends it back to its author.

Защита от вредоносных программ в Exchange Server представлена в Exchange 2013 и предоставляется агентом транспорта с именем Agent Agent.The antimalware protection in Exchange Server was introduced in Exchange 2013, and is provided by the Transport agent named Malware Agent. Агент сканирует сообщения по мере их прохождения через транспортную службу на сервере почтовых ящиков.The agent scans messages as they travel through the Transport service on a Mailbox server. Вы настраиваете фильтрацию вредоносных программ с помощью следующих компонентов:You configure malware filtering by using:

  • Политики защиты от вредоносных программ: Указание параметров сканирования входящих и исходящих сообщений и уведомлений для фильтрации вредоносных программ.Antimalware policies: Specify inbound and outbound scanning and notification options for malware filtering. Существует политика по умолчанию, которая применяется ко всем получателям в организации Exchange, и вы можете создавать дополнительные политики, применяемые в определенном порядке.There's a default policy that applies to all recipients in the Exchange organization, and you can create addtional policies that are applied in a specific order.

  • Параметры сервера защиты от вредоносных программ: укажите ошибки и действия повтора, а также параметры ядра и обновления определений для фильтрации вредоносных программ.Antimalware server settings: Specify the error and retry actions, and the engine and definition update settings for malware filtering. Агент вредоносных программ использует доступ к Интернету через TCP-порт 80 (HTTP), чтобы проверять наличие ядра и определений обновлений каждый час.The Malware agent uses Internet access on TCP port 80 (HTTP) to check for engine and definition updates every hour.

  • Сценарии защиты от вредоносных программ: Включение или отключение фильтрации вредоносных программ на сервере и ручное скачивание обновлений ядра и определений.Antimalware scripts: Enable or disable malware filtering on the server, and manually download engine and definition updates.

Процедуры, связанные с фильтрацией вредоносных программ, приведены в статье процедуры защиты от вредоносных программ в Exchange Server.For procedures related to malware filtering, see Procedures for antimalware protection in Exchange Server. Дополнительные сведения о возможностях защиты от спама в Exchange Server можно найти в статье Защита от защиты от спама в Exchange Server.For more information about the antispam features in Exchange Server, see Antispam protection in Exchange Server.

Политики защиты от вредоносных программAntimalware policies

Политики защиты от вредоносных программ управляют параметрами действий и уведомлений при обнаружении вредоносных программ. Ниже перечислены важные параметры политик защиты от вредоносных программ.Antimalware policies control the actions and notification options for malware detections. The important settings in antimalware policies are:

  • Действие: указывает, что делать, если сообщение содержит вредоносную программу.Action: Specifies what to do when a message is found to contain malware. Доступны следующие варианты:The options are:

    • Удаление сообщения (значение по умолчанию).Delete the message (this is the default value).

    • Замена всех вложений на текстовый файл, содержащий этот текст по умолчанию:Replace all attachments with a text file that contains this default text:

      "В одном или нескольких вложениях этого сообщения электронной почты обнаружены вредоносные программы.Malware was detected in one or more attachments included with this email. Все вложения удалены".All attachments have been deleted.

    • Замените все вложения текстовым файлом, содержащим настраиваемый текст, который вы указали.Replace all attachments with a text file that contains the custom text you specify.

  • Уведомления: Если политика защиты от вредоносных программ настроена на удаление сообщений, вы можете выбрать, отправлять ли отправителю сообщение с уведомлением.Notifications: When an antimalware policy is configured to delete messages, you can choose whether to send a notification message to the sender. Отправка уведомлений может зависеть от того, является ли отправитель внутренним или внешним.You can send notification messages based on whether the sender is internal or external. По умолчанию сообщение с уведомлением обладает следующими свойствами:The default notification message has these properties:

    • От: Master Master @ _ <DefaultDomain>_. comFrom: Postmaster postmaster@ <defaultdomain>.com

    • Тема: недоставленное сообщениеSubject: Undeliverable message

    • Текст сообщения: это сообщение было создано автоматически программным обеспечением доставки почты.Message text: This message was created automatically by mail delivery software. Ваше электронное сообщение не было доставлено получателям, так как в нем обнаружены вредоносные программы".Your email message was not delivered to the intended recipients because malware was detected.

      Вы можете настраивать свойства сообщений для внутренних и внешних уведомлений. Вы также можете указывать дополнительных получателей (администраторов), которые будут получать уведомления о недоставленных сообщениях от внутренних или внешних отправителей.You can customize the message properties for internal and external notifications. You can also specify additional recipients (administrators) to receive notifications for undeliverable messages from internal or external senders.

  • Фильтры получателей: для настраиваемых политик защиты от вредоносных программ можно указать условия получателей и исключения, которые определяют, к кому применяется политика.Recipient filters: For custom antimalware policies, you can specify recipient conditions and exceptions that determine who the policy applies to. Для условий и исключений можно использовать следующие свойства:You can use these properties for conditions and exceptions:

    • по получателю;By recipient

    • по обслуживаемому домену;By accepted domain

    • по членству в группе.By group membership

      Условие или исключение можно использовать только один раз, но оно может содержать несколько значений.You can only use a condition or exception once, but the condition or exception can contain multiple values. Несколько значений одного условия или использования или логики исключения (например, _ <recipient1> _ или _ <recipient2>).Multiple values of the same condition or exception use OR logic (for example, <recipient1> or <recipient2>). Разные условия или исключения используют и логику (например, _ <recipient1> _ и _ <Member of Group 1>).Different conditions or exceptions use AND logic (for example, <recipient1> and <member of group 1>).

  • Приоритет: Если вы создаете несколько пользовательских политик защиты от вредоносных программ, вы можете указать порядок их применения.Priority: If you create multiple custom antimalware policies, you can specify the order that they're applied.

Сравнение политик защиты от вредоносных программ в Центре администрирования Exchange и командной консоли ExchangeAntimalware policies in the Exchange admin center vs the Exchange Management Shell

Основные элементы политики защиты от вредоносных программ:The basic elements of an antimalware policy are:

  • Политика фильтрации вредоносных программ: определяет действие и параметры уведомлений для фильтрации вредоносных программ.The malware filter policy: Specifies the action and notification options for malware filtering.

  • Правило фильтрации вредоносных программ: определяет приоритет и фильтры получателей (к которым применяется политика) для политики фильтрации вредоносных программ.The malware filter rule: Specifies the priority and recipient filters (who the policy applies to) for a malware filter policy.

Разница между этими двумя элементами не так заметна, если вы управляете политиками защиты от вредоносных программ с помощью Центра администрирования Exchange:The difference between these two elements isn't obvious when you manage antimalware polices in the Exchange admin center (EAC):

  • Создавая политику защиты от вредоносных программ в Центре администрирования Exchange, на самом деле вы одновременно создаете правило фильтрации для защиты от вредоносных программ и связанную с ним политику с одинаковыми именами.When you create an antimalware policy in the EAC, you're actually creating a malware filter rule and the associated malware filter policy at the same time using the same name for both.

  • При изменении политики защиты от вредоносных программ в центре администрирования Exchange параметры, связанные с фильтрами имен, приоритетов, включенных или отключенных и получателей, изменяют правило фильтрации вредоносных программ.When you modify an antimalware policy in the EAC, settings related to the name, priority, enabled or disabled, and recipient filters modify the malware filter rule. Другие настройки (параметры действий и уведомлений) меняют соответствующую политику фильтрации для защиты от вредоносных программ.Other settings (actions and notification options) modify the associated malware filter policy.

  • При удалении политики защиты от вредоносных программ с помощью Центра администрирования Exchange удаляются правило и соответствующая политика фильтрации для защиты от вредоносных программ.When you remove an antimalware policy from the EAC, the malware filter rule and the associated malware filter policy are removed.

В командной консоли Exchange разница между политиками и правилами фильтрации для защиты от вредоносных программ очевидна. Для управления политиками фильтрации для защиты от вредоносных программ используются командлеты *-MalwareFilterPolicy, а для управления правилами — командлеты *-MalwareFilterRule.In the Exchange Management Shell, the difference between malware filter policies and malware filter rules is apparent. You manage malware filter policies by using the *-MalwareFilterPolicy cmdlets, and you manage malware filter rules by using the *-MalwareFilterRule cmdlets.

  • В командной консоли Exchange сначала создается политика, а затем — правило фильтрации для защиты от вредоносных программ, указывающее политику, к которой оно применяется.In the Exchange Management Shell, you create the malware filter policy first, then you create the malware filter rule that identifies the policy that the rule applies to.

  • В командной консоли Exchange параметры политики и правила фильтрации для защиты от вредоносных программ настраиваются отдельно.In the Exchange Management Shell, you modify the settings in the malware filter policy and the malware filter rule separately.

  • При удалении политики фильтрации для защиты от вредоносных программ с помощью командной консоли Exchange соответствующее правило не удаляется автоматически, и наоборот.When you remove a malware filter policy from the Exchange Management Shell, the corresponding malware filter rule isn't automatically removed, and vice versa.

Стандартная политика защиты от вредоносных программDefault antimalware policy

На каждом сервере почтовых ящиков есть встроенная политика защиты от вредоносных программ под названием "По умолчанию" с указанными ниже свойствами.Every Mailbox server has a built-in antimalware policy named Default that has these properties:

  • Политика фильтрации вредоносных программ с именем Default применяется ко всем получателям в организации Exchange, несмотря на то, что правило фильтрации вредоносных программ (фильтры получателей), связанное с политикой, отсутствует.The malware filter policy named Default is applied to all recipients in the Exchange organization, even though there's no malware filter rule (recipient filters) associated with the policy.

  • Политика с именем Default имеет значение приоритета, которое меньше, чем вы можете изменить (политика всегда применяется последней).The policy named Default has the custom priority value Lowest that you can't modify (the policy is always applied last). Все настраиваемые политики защиты от вредоносных программ всегда имеют более высокий приоритет, чем политика с именем Default.Any custom antimalware policies that you create always have a higher priority than the policy named Default.

  • Политика с именем Default — это политика по умолчанию **** (свойство IsDefault имеет значение True), и вы не можете удалить политику по умолчанию.The policy named Default is the default policy (the IsDefault property has the value True), and you can't delete the default policy.

Параметры сервера защиты от вредоносных программAntimalware server settings

С помощью командлетов Get-MalwareFilteringServer и Set-MalwareFilteringServer в командной консоли Exchange можно просматривать и настраивать параметры обновления, времени ожидания и скачивания для агента защиты от вредоносных программ на сервере почтовых ящиков. Процедуры с использованием этих командлетов представлены в статьях Обход фильтрации вредоносных программ на серверах почтовых ящиков с помощью командной консоли Exchange и Настройка фильтрации вредоносных программ для сканирования сообщений, уже отсканированных службой EOP, с помощью командной консоли Exchange.You can use the Get-MalwareFilteringServer and Set-MalwareFilteringServer cmdlets in the Exchange Management Shell to view and configure the update, timeout, and download settings for the Malware agent on the Mailbox server. For procedures that use these cmdlets, see Use the Exchange Management Shell to bypass malware filtering on Mailbox servers and Use the Exchange Management Shell to configure malware filtering to rescan messages that were already scanned by EOP.

Скрипты для защиты от вредоносных программAntimalware scripts

Exchange включает два скрипта Командная консоль Exchange, с помощью которых можно управлять фильтрацией для защиты от вредоносных программ.Exchange includes two Exchange Management Shell scripts that you can use to manage malware filtering:

  • Скрипт Disable-Antimalwarescanning.ps1 отключает агента защиты от вредоносных программ, а также обновление определений и модуля защиты от вредоносных программ на сервере почтовых ящиков.Disable-Antimalwarescanning.ps1 disables the Malware agent, and malware engine and definition updates on the Mailbox server.

  • Скрипт Enable-Antimalwarescanning.ps1 включает агента защиты от вредоносных программ, обновление определений и модуля защиты от вредоносных программ, а также запускает обновление модуля и определений на сервере почтовых ящиков.Enable-Antimalwarescanning.ps1 enables the Malware agent, enables malware engine and definition updates, and runs engine and definition updates on the Mailbox server.

  • Update-MalwareFilteringServer.ps1вручную выполняет обновления антивирусных программ и определений на сервере почтовых ящиков.Update-MalwareFilteringServer.ps1 manually runs malware engine and definition updates on the Mailbox server.

Дополнительные сведения об использовании этих сценариев приведены в статье Использование Командная консоль Exchange для включения или отключения фильтрации вредоносных программ на серверах почтовых ящиков и скачивания антивредоносных ядер и обновлений определений.For more information about using these scripts, see Use the Exchange Management Shell to enable or disable malware filtering on Mailbox servers and Download antimalware engine and definition updates.

Параметры защиты от вредоносных программ в Exchange ServerAntimalware protection options in Exchange Server

В приведенном ниже списке перечислены варианты защиты от вредоносных программ для Exchange.This list describes the antimalware options for Exchange:

  • Встроенная защита от вредоносных программ: вы можете использовать встроенную защиту от вредоносных программ в Exchange, чтобы помочь вам бороться с вредоносными программами.Built-in antimalware protection: You can use the built-in antimalware protection in Exchange to help you combat malware. Ее можно использовать как саму по себе, так и в сочетании с другими решениями защиты от вредоносных программ, чтобы обеспечить многоуровневую защиту от вредоносных программ.You can use it by itself, or you can pair it with other antimalware solutions to provide a layered defense against malware.

  • Exchange Online Protection (EOP): вы можете заплатить за подписку на EOP, которая представляет собой решение для защиты от вредоносных программ, используемое в Office 365.Exchange Online Protection (EOP): You can pay for a subscription to EOP, which is the antimalware solution that used in Office 365. Служба EOP использует несколько модулей для защиты от вредоносных программ, обеспечивая эффективную, экономную и многоуровневую защиту от вредоносных программ.EOP leverages partnerships with several antimalware engines to provide efficient, cost effective, and multi-layered antimalware protection. Ниже перечислены преимущества сочетания встроенного средства защиты от вредоносных программ со службой EOP.The advantages of paring the built-in antimalware protection with EOP are:

    • EOP использует несколько антивредоносных механизмов, в то время как встроенная защита от вредоносных программ использует один обработчик.EOP uses multiple antimalware engines, while the built-in antimalware protection uses a single engine.

    • Служба EOP включает возможности создания отчетов, в том числе статистики по вредоносным программам.EOP has reporting capabilities, including malware statistics.

    • Служба EOP включает функцию трассировки сообщений для самостоятельного устранения проблем с потоком обработки почты, в том числе обнаружения вредоносных программ.EOP provides the message trace feature for self-troubleshooting mail flow problems including malware detections.

      Дополнительные сведения о службе EOP см. в статье Anti-Malware Protection.For more information about EOP, see Anti-Malware Protection.

  • Защита от вредоносных программот сторонних производителей: вы можете приобрести сторонние Антивредоносные программы.Third-party antimalware protection: You can buy a third-party antimalware program.

Защита Exchange от вредоносных программ: вопросы и ответыAntimalware FAQ for Exchange

В этом разделе представлены ответы на часто задаваемые вопросы о встроенных функциях фильтрации и сканирования в Exchange для защиты от вредоносных программ.This section answers the frequently asked questions about built-in malware filtering and scanning in Exchange.

Почему вредоносная программа, определенная другими службами защиты от вредоносных программ, получает последнюю фильтрацию защиты от вредоносных программ Exchange?Why did malware that was identified by other antimalware services get past Exchange antimalware filtering?

Это могло произойти по одной из двух причин.There are two likely reasons:

  • Наиболее вероятная из них — вложение на самом деле не содержит активного вредоносного кода. Некоторые модули защиты от вредоносных программ действуют агрессивнее остальных. Они могут останавливать сообщения просто потому, что они содержат усеченные полезные данные вредоносных программ, которые на самом деле не выполняют никаких действий.The most likely scenario is the message attachment doesn't actually contain any active malicious code. Some antimalware engines are more aggressive than others, and these engines might stop messages simply because they contain truncated malware payloads that don't actually do anything.

  • Вы получили новый вариант вредоносной программы, для которой наш модуль для защиты от вредоносных программ еще не выпустил файл шаблона.The malware you received is a new variant, and our antimalware engine hasn't released a pattern file for it (yet).

Мне пришло сообщение с незнакомым вложением. Это вредоносная программа или вложение можно проигнорировать?I received a message with an unfamiliar attachment. Is this malware or can I disregard this attachment?

Настоятельно рекомендуем не открывать вложения, назначение которых вам неясно. Если вы хотите, чтобы мы изучили вложение, отправьте его нам, как описано в следующем разделе.We strongly advise that you don't open any attachments that you don't recognize. If you would like us to investigate the attachment, submit it to us as described in the next item.

Как отсылать известные вредоносные программы, подозрительные файлы или ложные срабатывания в корпорацию Майкрософт?How do I submit known malware, suspicious files, or false positives to Microsoft?

Сохраните копию сообщения и отправьте сообщение на веб-сайт службы безопасности защитника Windows (вдси), чтобы мы могли его проверить.Save a copy of the message and upload the message to the Windows Defender Security Intelligence (WDSI) website so we can examine it.

Если образец содержит вредоносную программу, мы примем меры, чтобы вирус не мог обойти защиту. Если же образец не опасен, мы примем соответствующие меры, чтобы этот файл больше не определялся как вредоносный.If the sample contains malware, we'll take corrective action to prevent the virus from going undetected. if the sample is clean, we'll take corrective action to prevent the file from being detected as malware.

Где можно просмотреть сообщения, удаленные фильтром защиты от вредоносных программ?Where can I get the messages that have been deleted by the malware filter?

Это невозможно. Сообщения, в которых обнаружен активный вредоносный код, удаляются.You can't. The messages were found to contain active malicious code, so they were deleted.

Можно ли обходить фильтрацию для защиты от вредоносных программ с помощью правил потока обработки почты?Can I use mail flow rules to bypass malware filtering?

Нет. С помощью правил потока обработки почты (также называемых правилами транспорта) невозможно обойти агент защиты от вредоносных программ. Вместо этого отправьте вложение в защищенном паролем ZIP-файле (фильтр вредоносных программ пропускает такие файлы).No, you can't use mail flow rules (also known as transport rules) to bypass the Malware agent. Instead, send the attachment in a password-protected .zip file (password-protected file .zip files are bypassed by malware filtering).